Skip to main content

Waarom een AVG – ‘project’ geen project is


We zijn inmiddels 2 weken verder nadat de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), van kracht is gegaan. Veel organisaties, waaronder gemeenten, hebben zich de afgelopen maanden met AVG-projecten bezig gehouden om ervoor te zorgen dat zij op 25 mei AVG-proof waren. De vele mails met privacystatements in je mailbox zullen je niet zijn ontgaan. Er is erg naar die streefdatum van 25 mei geleefd. Maar hoe zit het daarna? Kun je eigenlijk wel ‘AVG-proof’ zijn en is het voldoen aan de AVG wel een project, met een kop en een staart?

Privacy is een continu proces

Het antwoord is: nee. Het is niet zo dat we nu met zijn allen achterover kunnen leunen, een AVG-‘project’ is in principe namelijk nooit af. Het voldoen aan de AVG is dan ook geen eenmalig project maar een continu proces dat altijd onderdeel zijn van de bedrijfsvoering. In de praktijk lijkt dit bij veel gemeenten anders gezien te worden. Zo zijn er in aanloop naar 25 mei allerlei programma’s en projecten opgestart om ervoor te zorgen dat de gemeente AVG-proof werd. Veel van deze programma’s en projecten liepen tot 25 mei en zijn daarna afgerond. Ik heb dit zelf ook gezien bij een huidige opdrachtgever waar ik onlangs een AVG programma heb afgerond maar iedereen op het hart heb gedrukt dat dit niet wil zeggen dat ze ‘klaar’ zijn met privacy. Privacy is geen project, en daarom dus ook nooit ‘af’. Veel gemeenten staan zelfs pas aan het begin. Je kunt het ook vergelijken met het behalen van je rijbewijs, je leert pas echt autorijden na het behalen van je papiertje (en alleen door het echt te doen!).

De basis staat

Wat er in de praktijk is gebeurd bij AVG-projecten is dat er veel producten zijn opgesteld, zoals: een register van verwerkingen, een privacybeleid, een privacy statement voor de website, DPIA procedures, datalekken procedures et cetera. Daarnaast is er aandacht besteed aan awareness onder de medewerkers (Wat is een datalek? Hoe wordt ik geacht om te gaan met persoonsgegevens, bij wie kan ik met mijn vragen terecht et cetera) en er is (hopelijk) een privacy organisatie ingericht. Dan ben je er toch, zul je denken. Het tegendeel is waar. Vergelijk het met het bouwen van een huis: de basisconstructie ofwel ‘het karkas’ staat. Maar nu dat eenmaal staat, is het tijd voor de indeling en daarna zal het onderhouden moeten worden. Want wat betekenen de privacy maatregelen vanuit de wetgeving allemaal voor je gemeente, voor het dagelijks werk van je medewerkers? Hoe ga je om met de rechten van betrokkenen? Het werkproces kun je beschreven hebben en de taken belegd, maar hoe verloopt dat in de praktijk? Hoe ga je zorgen dat de stappen die gezet (afgevinkt) zijn, ook echt geborgd worden in de organisatie? Dat je al deze ‘vinkjes’ hebt gezet, wil namelijk nog niet zeggen dat de gemeente gegarandeerd compliant is als het gaat om privacy. Daar komt meer bij kijken..

Privacy organisatie in de praktijk

Om daadwerkelijk compliant te zijn is het niet alleen nodig dat de privacy organisatie is ingericht maar is het ook belangrijk dat de personen in die organisaties hun werk kunnen doen, denk aan de FG en de Privacy Officer. Hoe positioneren zij zichzelf, welke capaciteit is nodig? Wat kan de Privacy Officer van de FG verwachten en vise versa? De Privacy Officer moet de organisatie (operationeel) en de business ondersteunen. De FG moet toezicht houden op welke wijze dit allemaal gebeurt.

En dat is niet alles. De technologische ontwikkelingen gaan snel, zo hebben gemeenten er de laatste jaren ontzettend veel taken en verantwoordelijkheden bijgekregen. Medewerkers en management zijn zich vaak nog onvoldoende bewust van de risico’s die samenhangen met deze nieuwe taken en het werken met deze privacygevoelige gegevens. Ook hier geldt dat geïnvesteerd moet worden in de organisatie, de mensen en techniek. Zij moeten weten op welke wijze zij hun werk moeten uitvoeren in lijn met deze nieuwe wet. Zo moeten er processen privacy-minded worden (her)ingericht (privacy by design), DPIA’s worden uitgevoerd, en moeten de adviezen en maatregelen die daaruit komen worden geïmplementeerd. Dit laatste kan in de praktijk ook anders uitpakken dan in het AVG-project bedacht was. Tot slot blijft de ‘winkel open’ en moet je de dienstverlening leveren die van je wordt verwacht als gemeente. Kortom, er zijn dus nog een hoop stappen te zetten.

Aan de slag!

Veel gemeenten hebben hun privacybeleid op papier in orde, maar de samenhang op diverse gebieden ontbreekt nog. Dat het nu 25 mei is geweest, betekent dus niet dat je als organisatie ‘klaar’ bent met de AVG. Het is een ‘Plan-Do-Act-check’ cyclus die de komende jaren nog in de haarvaten van het bedrijf moet worden toegepast en geborgd.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…